Мораш да планираш да би ухватио интрудера
Надамо се да ћете држати рачунаре попуњене и ажуриране и ваша мрежа сигурна. Међутим, прилично је неизбежно да ћете у једном тренутку бити погођени злонамерним активностима - вирусом , црвом , тројанским коњем, нападом на хакове или на други начин. Када се то деси, ако сте урадили исправне ствари пре напада, извршићете посао одређивања када и како је напад много лакши.
Ако сте икада гледали телевизијску емисију ЦСИ , или само о било којој другој полицијској или правној ТВ емисији, знате да чак и са најтањијим судом форензичких доказа истражитељи могу идентификовати, пратити и ухватити починитеља злочина.
Али, зар не би било лепо да нису морали да пролазе кроз влакна да пронађу једну косу која заправо припада починиоцу и да тестира ДНК како би идентификовала свог власника? Шта ако постоји запис о свакој особи са ким су дошли у контакт и када? Шта ако се води евиденција о томе шта је учињено том лицу?
Ако је то случај, истражитељи попут оних у ЦСИ можда не би били у послу. Полиција ће наћи тело, проверити записник да види ко је последњи пут ступио у контакт са преминулим и шта је учињено и већ би имали идентитет без потребе да копају. То је оно што логовање пружа у смислу пружања форензичких доказа када постоји злонамерна активност на рачунару или мрежи.
Ако мрежни администратор не укључи евиденцију или не пријављује исправне догађаје, ископавање форензичких доказа за идентификацију времена и датума или методе неовлашћеног приступа или друге злонамерне активности може бити исто тако тешко као и тражење преговарачке игле у сен. Често основни узрок напада никад није откривен. Хакиране или заражене машине су очишћене и сви се враћају у посао као и обично без икаквог знања да ли су системи заштићени било какво када су били погођени на првом месту.
Неке апликације по дефаулту пријављују ствари. Веб сервери као што су ИИС и Апацхе генерално пријављују све долазеће саобраћај. Ово се углавном користи да би се видело колико је људи посетило веб страницу, коју ИП адресу су користиле, као и друге информације о типу метрика које се односе на веб страницу. Али, у случају црва као што су ЦодеРед или Нимда, веб дневници такође могу показати када заражени системи покушавају да приступе вашем систему зато што имају одређене команде које покушавају да се појаве у евиденцијама да ли су успјешни или не.
Неки системи имају различите функције за ревизију и евидентирање. Можете такође инсталирати додатни софтвер за праћење и пријављивање различитих радњи на рачунару (погледајте Алатке у сандучету с десне стране овог чланка). На Виндовс КСП Профессионал машини постоје опције за ревизију догађаја пријављивања налога, управљање налогом, приступ услугама директорија, догађаји пријављивања, приступ објекту, промјена политике, кориштење привилегија, праћење процеса и догађаји у систему.
За свако од њих можете одабрати да пријавите успех, неуспјех или ништа. Користећи Виндовс КСП Про као пример, уколико нисте омогућили било какво евидентирање приступа објекту, не бисте имали никакав запис о томе када је датотека или фолдер последњи приступ. Ако сте омогућили само евиденцију неуспјеха, имали бисте запис о томе када је неко покушао приступити датотекама или фасцикли, али није успео због тога што немате одговарајуће дозволе или ауторизацију, али не бисте имали запис о томе када је овлаштени корисник приступио датотеку или фасциклу .
Пошто хакер може врло добро користити искривљено корисничко име и лозинку, можда ће моћи успјешно приступити датотекама. Ако погледате евиденције и видите да је Боб Смитх избрисао финансијску изјаву компаније у 3 у недјељу, можда би било сигурно претпоставити да је Боб Смитх спавао и да је можда његово корисничко име и лозинка компромитовано . У сваком случају, сада знате шта се десило са датим фајлом и када вам даје почетну тачку за истраживање како се то догодило.
И неуспјех и успјешно евидентирање могу пружити корисне информације и трагове, али морате усклађивати своје активности мониторинга и евиденције са перформансама система. Коришћење примера људских књига из горње стране - то би помогло истражитељима да ли људи чувају дневник свима са којима су ступили у контакт и шта се догодило током интеракције, али би то сигурно успорило људе.
Ако сте морали да зауставите и запишете ко, шта и за сваки сусрет који сте имали цео дан то може озбиљно утицати на вашу продуктивност. Исто важи и за праћење и евидентирање рачунарских активности. Можете омогућити сваку могућу опцију пријављивања грешака и успјеха и имат ћете врло детаљан запис о свему што се дешава на вашем рачунару. Међутим, озбиљно ћете утицати на перформансе јер ће процесор бити запослен снимањем 100 различитих уноса у дневнике сваки пут када неко притисне дугме или кликне на миш.
Морате сагледати које врсте сечења би биле корисне за утицај на перформансе система и изналажење равнотеже које најбоље одговара за вас. Такође треба имати на уму да многи хацкер алати и тројански програми као што су Суб7 укључују помоћне програме који им омогућавају да мијењају датотеке дневника да сакрије своје поступке и сакрију упад тако да се не можете поуздати 100% на датотеке дневника.
Можете избегавати неке проблеме у перформансама и евентуално проблеме при прикривању алатки хакера узимајући у обзир одређене ствари приликом подешавања логовања. Морате да процените колико ће се велике датотеке дневника добити и осигурати да имате довољно простора на диску на првом месту. Такође морате поставити политику да ли ће стари дневници бити преписани или избрисани или ако желите архивирати евиденције на дневној, недељној или другој периодичној основи тако да имате старије податке и да се поново осврћите на њих.
Ако је могуће користити наменски хард диск и / или контролер чврстог диска, имат ћете мање ефекта на перформансе, јер се датотеке дневника могу писати на диск, а не морају се борити са апликацијама које покусавате да покренете за приступ диску. Ако можете да усмерите датотеке евиденције на одвојени рачунар - можда посвећени чувању датотека дневника и са потпуно различитим поставкама сигурности - можда ћете моћи блокирати могућност уљеза да измените или бришу датотеке дневника.
Коначна напомена је да не треба чекати док не буде прекасно и да је ваш систем већ срушен или компромитован пре него што прегледате евиденције. Најбоље је периодично прегледати евиденције тако да можете знати шта је нормално и успоставите основну линију. На тај начин, када нађете погрешне уносе, препознајете их као такве и предузимате проактивне кораке да ојачате свој систем уместо да извршите форензичку истрагу након што буде прекасно.